搜狗輸入法和百度輸入法被爆泄露用戶隱私
本報(bào)訊(記者 溫婧)昨天有網(wǎng)友爆料,百度和搜狗輸入法在聯(lián)網(wǎng)狀態(tài)下會(huì)上傳用戶的打字信息到服務(wù)器,并且全部都用明文傳輸。這就意味著,黑客可以輕松破解用戶全部的打字信息,且所有信息被上傳到搜狗和百度的云端。該網(wǎng)友呼吁百度和搜狗輸入法停止侵權(quán)行為。截至昨天下午,百度和搜狗已經(jīng)對(duì)該漏洞進(jìn)行修復(fù),關(guān)閉了明文上傳打字記錄的功能。
網(wǎng)絡(luò)工程師@蒸米spark昨天在微博上發(fā)布了這封名為《有些事你不記得了,輸入法還幫你記得》的公開信。信中稱,在聯(lián)網(wǎng)狀態(tài)下,百度和搜狗輸入法會(huì)上傳你的打字信息到服務(wù)器,并且全部都用明文傳輸,嚴(yán)重的泄露了用戶的隱私。他表示,自己先用百度云輸入法打了一句話,然后回到一個(gè)名為Charles的網(wǎng)絡(luò)數(shù)據(jù)分析包,發(fā)現(xiàn)剛才打的句子已經(jīng)被上傳到了百度的服務(wù)器。并且可以很清楚地看到整個(gè)過程都是用的http協(xié)議,這意味著輸入法是完全沒有加密地進(jìn)行了明文傳輸。
明文傳輸,從廣義上講,就是一段未經(jīng)過任何加密的數(shù)據(jù),其他程序員可以輕松查看到用戶的全部信息。不論是密碼、舉報(bào)信或新聞,都可以在第一時(shí)間被他人看到。
事實(shí)上,早在2013年,在烏云網(wǎng)站就有“搜狗輸入法可導(dǎo)致大量用戶敏感信息泄露”的漏洞爆出。同時(shí),由于搜狗輸入法支持多媒體輸入,也就是可以通過輸入法上傳圖片、語音等內(nèi)容,因此,當(dāng)時(shí)的泄露事件還包括用戶的身份證、私照等信息,受到了不小關(guān)注。此后,搜狗回應(yīng)稱已修復(fù)。而百度輸入法也曾遭類似爆料。
昨天,@蒸米spark的微博在網(wǎng)絡(luò)上引起關(guān)注,共6000多轉(zhuǎn)發(fā)。事件發(fā)生后,搜狗和百度緊急修復(fù)了這一漏洞。截至昨天下午,搜狗和百度均已關(guān)閉明文上傳打字記錄的功能。